信息安全等级保护工作简报
(第37期)
来自:公安部 时间:20xx-02-03
信息产业部全面部署开展信息安全等级保护定级工作
自全国重要信息系统安全保护等级工作部署开展以来,信息产业部认真研究,充分准备。考虑到电信网络的全程全网性质以及电信管理体系等原因,在国家网络与信息安全协调小组办公室的协调下,信息产业部与公安部就电信系统信息安全等级保护定级备案工作达成一致意见,明确了电信系统等级保护定级备案的工作要求,并迅速组织开展了电信系统的信息安全等级保护工作。
一、制定出台《关于进一步开展电信网络安全防护工作的实施意见》,全面部署开展电信网络安全等级保护工作
为深入贯彻落实国家信息安全等级保护制度,保证电信网络安全等级保护工作的规范开展,根据《信息安全等级保护管理办法》等有关规定,在总结前期电信网络安全防护标准化和相关试点工作
经验的基础上,信息产业部电信管理局制定并出台了《关于进一步开展电信网络安全防护工作的实施意见》(以下简称《实施意见》),全面启动电信网络安全等级保护定级工作。《实施意见》中指出电信网络安全防护工作的总体思路,明确了电信网络的定级范围、定级步骤以及定级结果备案和调整要求等,并强调了安全服务机构的选择条件及其应承担的义务。同时,《实施意见》要求加强相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统一性和协调性,努力建设科学、规范、有效的电信网络安全保护管理体系。
二、加强组织领导,成立专家组,为定级工作提供有力支持
为保障电信网络安全防护工作的有效开展,加强组织领导,信息产业部成立了“电信网络安全防护工作领导小组”,负责相关工作的总体部署和协调。领导小组由信息产业部奚国华副部长任组长,电信管理局苏金生局长任副组长,领导小组办公室设在信息产业部电信管理局,由赵志国副局长担任办公室主任。同时,要求各地通信管理局和各级电信运营企业也要成立本单位电信网络安全防护领导小组及工作组,明确和落实相关部门的职责,确保安全防护工作的顺利开展。
为加强对电信网络安全防护工作的技术支撑,在领导小组的领导下,信息产业部成立了由相关政府部门、运营企业、研究机构专家组成的“信息产业部电信网络安全防护专家组”,制定了《信息产业部电信网络安全防护专家组工作章程》,明确了专家组的职责、义务、组织机构、活动规则等。20xx年x月x日专家组召开了第一次会议,专门研究电信网络安全等级保护定级工作。会议由电信网络安全防护工作领导小组办公室主任赵志国副局长主持,他在工作部署时指出,一是要按照网络类型、业务类型、服务地域等要素划分定级对象,并确定各定级对象的安全保护等级。二是由专家组提出电信网络定级对象划分和定级对象安全保护等级的建议方案,为各运营企业开展定级工作提供参考。三是对第三级及以上的电信网络要开展安全测评,并将测评结果作为电信企业安全防护水平的考核依据。同时,专家组还就电信网络安全防护管理系统总体功能需求和方案进行了讨论,并结合行业特点和网络实际情况形成了《电信网络安全防护各定级对象的建议安全等级》,指导运营企业有效开展等级保护定级工作。
三、举办电信网络定级工作培训班,保障定级工作有序推进
为保证定级工作的科学、规范开展,信息产业部电信网络安全防护工作领导小组办公室委托信息产业部电信研究院通信标准研
究所于20xx年x月x日至20日举办了电信网络定级培训班,对电信网络等级保护定级、备案相关内容做了重点培训。此次培训主要面对各通信管理局和各级基础电信运营企业的相关工作人员,各通信管理局45人、基础电信运营企业91人参加了培训。培训班上,信息产业部相关部门领导对电信网络安全防护工作部署情况进行了介绍,明确了电信网络安全防护工作要求;电信研究院相关专家全面、系统地介绍了电信网络安全防护标准体系,并以固定通信网、互联网、支撑网、传送网、非核心生产单元等为具体案例,有针对性的讲解了等级保护定级工作标准、实施方法、实施步骤、定级报告格式、备案材料提交等内容。通过培训,进一步明确了各地通信管理局和各电信运营企业在电信网络等级保护定级工作中的职责、任务,使相关工作人员掌握了等级保护定级工作的内容、流程、要求以及相关标准,为电信网络等级保护定级工作的深入开展奠定了基础。
此外,为了确保电信网络和重要信息系统安全保护等级的科学、合理性, 20xx年x月x日至23日,信息产业部在北京组织专家对中国移动、中国网通、中国电信、中国联通、中国铁通、中国卫通等六大运营商及涉奥省市电信网络和重要信息系统的定级情况进行了集中评审。目前,各大运营商正在根据专家意见和信息产业部的要求,调整确定电信网络和信息系统的安全保护等级,积
极完成备案工作。
第二篇:信息安全等级保护工作汇报
XXX
信息安全等级保护工作汇报
一、医院简介
XXX拥有xx年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。
医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张 。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。
医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。
医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。 全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。
医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、 妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。
XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
有国际水准的最先进的层流净化手术室共六个6 手术间,同时可开展胸、脑、腹、四肢、五官、妇科等高尖端手术。急诊科是黑龙江北部地区最大的急诊综合科室,科室有独立床位近30张,抢救设备齐全,实力雄厚,是我院“门神”级科室。我院拥有全区设备最先进功能最完善的烧伤病房和血液病房,发热门诊、检验科均按照国家级标准建设,为患者提供了方便、安全的就医环境 。
XXX领导班子带领广大职工勇于拼搏,锐意进取实现了医院的快速、稳定、健康发展,以改革创新的精神脚,踏实地的工作作风使社会效益和经济效益稳步增长,年收入突破亿元大关。医院的各项事业蓬勃发展,硕果累累,成绩斐然。
“以病人为中心,创建人民群众最满意医院”是XXX始终坚持的办院宗旨。医院人正以执着的医志、高尚的医德、精湛的医术和严谨的学风书写着辉煌的历史,为打造“国内知名、省内一流”医院的目标而努力奋斗!
二、加强领导
根据黑龙江省卫生计生委、黑龙江省公安厅、黑龙江省工信委《关于进一步开展好卫生计生行业信息安全等级保护工作的通知》医院高度重视信息系统的信息安全保护工作,成立信息安全领导小组,具体工作由网络中心承担,负责医院信息系统等级保护工作,并开展
相关科室的监督指导,根据安排,医院自成立信息安全领导小组以来,就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时组织培训等方式,不断加强技术人员的培养,对网络中心增加专业技术人员,强化信息安全保护能力。
三、完善制度
为落实加强和改进互联网建设与管理,根据原卫生部《关于印发卫生行业信息安全等级保护工作的指导意见》(卫办发【20xx】85号)的文件要求,我们对医院信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了《信息系统安全组织结构及管理制度》《信息人员安全管理制度》《信息系统管理制度》《信息安全组织机构设置》《信息安全组织机构管理制度》《系统运维管理制度》等制度及《物理安全技术措施建设》、《网络安全技术措施建设》、《主机安全技术措施建设》、《应用安全技术措施建设》、《数据安全技术措施建设》等措施。
四、信息等级安全保护基本情况
目前,医院已有HIS、院内办公网、农村合作医疗、城镇职工医保、城镇居民医保、铁路医保、低保等多个内部信息系统,根据等
级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。
在物理安全方面,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。 机房做到防水、防火、防静电处理,温湿度控制在要求的温湿度之间。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;在医院互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用虎纹远程管理软件,对终端进行工作行为、上网行为等管理,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;安装彩蝶ARP检测系统及局域网抓包工具,自部署起已多次成功
检测出SQL注入,伪装IP地址,全网攻击,FTP匿名登录,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
对于医院信息系统的不足,医院高度重视,在资金紧张等情况下,自筹300余万元,对系统进行改造,将在下半年投入200余万元将对医院信息系统软件升级改造。增加电子病历系统,检验科LIS系统,医学影像系统。硬件投入100余万元,增加服务器终端,网络设备等。
五、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,医院在该项工作上虽然取得一些进展,但是与上级主管部门要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
建议上级领导加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进医院的信息系统等级保护工作。